Prácticas de seguridad

Supervisión de acceso: Notion ha habilitado el inicio de sesión en todos los sistemas esenciales.Los registros incluyen registros fallidos/correctos, acceso a la aplicación, cambios de administrador y cambios del sistema.Los registros son ingeridos por nuestra solución de gestión de información y eventos de seguridad (SIEM) para la ingesta de registros y las capacidades de registro/alertas automatizadas.

Copias de seguridad habilitadas: Notion está alojado en AWS y almacena los datos de los clientes mediante una combinación de bases de datos. Por defecto, AWS proporciona una infraestructura duradera para almacenar datos importantes y está diseñado para la durabilidad del 99,9 % de los objetos. Las copias de seguridad automáticas de todos los datos del cliente y del sistema están habilitadas, y se hacen copias de seguridad de los datos al menos una vez al día. Las copias de seguridad se cifran de la misma manera que los datos de producción en vivo y se supervisan y alertan.

Borrado de datos: Los clientes de Notion controlan sus propios datos. Cada cliente es responsable de la información que crea, usa, almacena, procesa y destruye. Los clientes de Notion tienen la capacidad de solicitar la eliminación de datos o gestionar su eliminación, siempre y cuando los datos no estén sujetos a requisitos de periodicidad de retención reglamentarios o legales.Consulta nuestra Política de privacidad y el Anexo de procesamiento de datos para obtener más información.

Cifrado en reposo: Los datos del cliente se cifran en reposo mediante AES-256. Los datos del cliente se cifran cuando están en las redes internas de Notion, en reposo en el almacenamiento en la nube, las tablas de bases de datos y las copias de seguridad.

Cifrado en tránsito: Los datos enviados en tránsito se cifran mediante TLS 1.2 o superior.

Seguridad física: Notion hace uso de Amazon Web Services (AWS) para alojar nuestra aplicación y delega todos los controles de seguridad física del centro de datos.Consulta los controles de seguridad física de AWS aquí.

Divulgación responsable: Notion tiene un programa de recompensas por errores. Consulta nuestra Política de divulgación responsable.

Análisis de código: Los equipos de seguridad y desarrollo de Notion realizan modelos de amenazas y revisiones de diseño seguro para nuevos lanzamientos y actualizaciones.Después de completar el código para lanzamientos de funciones importantes, realizamos auditorías de código, revisiones de código y escaneos de seguridad para nuestra base de código.

Ciclo de vida de desarrollo de software (SDLC): Notion utiliza un SDLC definido para garantizar que el código se escriba de forma segura. Durante la fase de diseño, se realizan simulacros de amenazas de seguridad y revisiones de diseño seguro para nuevas versiones y actualizaciones. Después de completar el código para lanzamientos de funciones importantes, realizamos auditorías de código, trabajamos con empresas proveedoras o realizamos una prueba de penetración interna y llevamos a cabo escaneos de seguridad para nuestra base de código. Después del lanzamiento, proponemos recompensas por encontrar errores y contamos con un programa de gestión de vulnerabilidades para abordar problemas de seguridad graves.

Gestión de credenciales: Notion utiliza un servicio de gestión de claves (KMS) de terceros que gestiona automáticamente la generación de claves, el control de acceso, el almacenamiento seguro, las copias de seguridad y la rotación de claves. Las claves criptográficas se asignan a roles específicos en función del acceso con permisos mínimos y las claves se rotan automáticamente cada año.El uso de claves se supervisa y queda registrado.

Gestión de vulnerabilidades y parches: Notion realiza análisis de vulnerabilidades y supervisión de paquetes en todos los hosts relacionados con la infraestructura y en el producto de la empresa de forma continua.Los servicios externos e internos se parchean en un horario regular.Cualquier problema que se descubra se clasifica y resuelve en función de su gravedad dentro del entorno de Notion.

Firewall de aplicaciones web (WAF): Todos los puntos finales públicos emplean un firewall de aplicaciones web administrado para impedir los intentos de explotar vulnerabilidades comunes.

Nivel de acceso a los datos: Interno. Es decir, el personal de Notion solo accederá a tus datos para solucionar problemas o recuperar contenido a petición tuya).

Dependencia de terceros: Sí. Consulta nuestra lista de subencargados del tratamiento de datos aquí.

Alojamiento: Notion se aloja en un centro de datos de Amazon Web Services (AWS), uno de los principales proveedores de servicios en la nube.

Objetivo de tiempo de recuperación: Estimación de 2 horas.

Objetivo de punto de recuperación: Estimación de 24 horas.

Capacitación de la plantilla: Se requiere formación en materia de seguridad durante el proceso de incorporación de los empleados y, posteriormente, de forma anual. Los empleados también deben leer y aceptar el Código de Conducta y la Política de Seguridad de Notion.

Seguridad de recursos humanos: Notion realiza verificaciones de antecedentes de los empleados durante su contratación de acuerdo con las leyes y normativas locales.

Respuesta ante incidentes: Notion tiene un plan de gestión de incidentes que contiene pasos para la preparación, identificación, contención, investigación, erradicación, recuperación y seguimiento/autopsia que se revisa y prueba al menos una vez al año.

Evaluaciones internas: Las auditorías de seguridad internas se realizan al menos una vez al año en Notion.

SSO interno: se requiere autenticación multifactor (MFA) para que todos los empleados de Notion inicien sesión en el proveedor de identidad de Notion.

Acceso a los datos: Notion aplica internamente el principio de acceso con permisos mínimos. El acceso se otorga según la función del puesto y los requisitos operativos y siempre bajo el criterio de necesidad de conocer la información. Se llevan a cabo revisiones de acceso periódicamente para garantizar si aún existe necesidad de acceder a los sistemas críticos.

Registros: Notion utiliza una solución de SIEM (Gestión de eventos e información de seguridad) para la ingesta de registros y el uso de funciones automatizadas de registro y alertas. Se ingieren los registros provenientes de sistemas críticos y se utilizan reglas de alerta para garantizar que se generan alertas de eventos de seguridad donde y cuando sea necesario.

Seguridad de contraseñas: Notion exige la activación de la MFA (autenticación multifactor) para todos y cada uno de los sistemas que ofrezcan dicha opción. En los casos en que no sea posible esa delegación, Notion aplica una restrictiva política interna de gestión de contraseñas, incluyendo requisitos en lo tocante a la complejidad y la longitud de las contraseñas utilizadas.

Anti ataques DDoS: Notion utiliza aplicaciones de terceros para protegerse frente a ataques distribuidos de denegación de servicio (DDoS).

Centro de datos: Notion está alojado en AWS, que utiliza seguridad física para proteger los centros de datos. Consulta la documentación sobre seguridad de AWS aquí.

Seguridad de la infraestructura: La infraestructura de Notion se aloja en un entorno completamente seguro.Los datos de los clientes de Notion se alojan en AWS. AWS aplica una serie de informes, certificaciones y evaluaciones de terceros para garantizar la conformidad con prácticas recomendadas en materia de seguridad. Para obtener más información sobre el cumplimiento normativo de AWS, consulta esta página.
La infraestructura de AWS se aloja en centros de datos controlados por Amazon y repartidos por todo el mundo, los cuales están protegidos por varias medidas de control físico para evitar accesos no autorizados. Puedes encontrar más información sobre los centros de datos de AWS y sus controles de seguridad aquí.

Entorno de producción independiente: Los datos de los clientes nunca se almacenan en entornos que no sean de producción. En nuestro entorno de producción, las cuentas de los clientes están separadas por medios lógicos. Mantenemos entornos independientes para desarrollo, prueba y producción.

Cifrado de discos: Los portátiles de los empleados tienen activado el cifrado de discos para proteger los datos.

Detección y respuesta en los puntos de conexión: Todos los puntos de conexión tienen instalado software de detección. Además, Notion ha implementado varios controles para garantizar la seguridad de los datos y las soluciones de los clientes. Dichos controles garantizan que tengamos visibilidad constante sobre qué está pasando en el punto de conexión y que podamos detectar y reaccionar rápidamente ante cualquier manipulación o amenaza, además de permitirnos usar controles de inicio de sesión y forzar la aplicación de medidas específicas.

Gestión de dispositivos móviles: Los miembros de los equipos de TI y seguridad gestionan en remoto tanto los dispositivos de los empleados como el software que tengan instalado mediante programas de MDM (gestión de dispositivos móviles).

Detección de amenazas: Notion utiliza un software de protección de puntos de conexión para la detección específica de amenazas. El software de los puntos de conexión detecta intrusiones, malware y actividades maliciosas en los puntos de conexión y nos permite ofrecer una respuesta rápida, además de eliminar y mitigar las amenazas.

Firewall: Las redes de las oficinas de Notion se configuran con un firewall de red. Los servicios de red accesibles mediante WAN no se alojan en el entorno de la oficina.

IDS/IPS: Notion utiliza una mezcla de sistemas de tipo IDS/IPS tanto basados en red como en host, que forman parte de un enfoque general de defensa en profundidad para proteger toda la organización. Esto incluye la supervisión de actividades sospechosas mediante detecciones basadas en firmas y en anomalías.

Gestión de eventos e información de seguridad (SIEM): Notion utiliza una solución SIEM para la gestión de incidentes y eventos. Las notificaciones de eventos se comunican en tiempo real a nuestro personal de seguridad.

Seguridad inalámbrica: Las oficinas de Notion utilizan cifrado de seguridad para las redes inalámbricas. Notion no utiliza redes inalámbricas que puedan afectar a los datos de los clientes ni a los sistemas de producción.

Gestión de dominios: Por dominio se entiende el de la dirección de correo electrónico asociada a una cuenta de Notion. La verificación de dominios permite a los propietarios de un espacio de trabajo reclamar la propiedad de un dominio para poder configurar la gestión de dominios.

Inicio de sesión único (SSO) de SAML: Notion ofrece la funcionalidad SSO a clientes de los planes Business y Enterprise para que puedan acceder a la app a través de una única fuente de autenticación.

Aprovisionamiento y revocación mediante SCIM: Espacio de trabajo de Notion con el estándar de API SCIM (sistema de gestión de identidades entre dominios).

Registro de auditoría: Notion ofrece a los propietarios del espacio de trabajo acceso a información detallada sobre seguridad y actividades relacionadas. Por ejemplo, la identificación de posibles problemas, la investigación de conductas sospechosas y la resolución de problemas de acceso.

2FA (MFA): Notion ofrece verificación en dos pasos (2FA) para añadir una capa adicional de protección a tu cuenta de Notion. Todos los tipos de planes cuentan con esta función, que se puede configurar fácilmente desde tu cuenta.

Gestión de permisos: Notion permite a los propietarios controlar sus niveles de permisos para asegurarse de que los usuarios vean tu contenido e interactúen con él exactamente como tú quieres que lo hagan.

Gestión de espacios de equipo: Los propietarios de espacios de trabajo pueden obtener una panorámica de todos los espacios de equipo del espacio de trabajo, modificar sus configuraciones y acceder a otras herramientas de gestión.

Integraciones SIEM y DLP: Notion puede integrarse con tu DLP o SIEM de tu elección para detectar eventos.